Tareas de mantenimiento de cuentas de inicio de sesión
En este tema se describen los problemas relacionados con las tareas de mantenimiento de cuentas de inicio de sesión.
Hay dos problemas principales que afectan a las tareas de mantenimiento de cuentas de inicio de sesión:
- Actualizando la contraseña de la cuenta de una instancia de servicio que se ejecuta en una cuenta de usuario. Para obtener más información, consulte Cambio de la contraseña en la cuenta de usuario de un servicio.
- Control de los cambios en la cuenta de inicio de sesión de una instancia de servicio.
Este último es un caso poco frecuente, pero puede ocurrir. El sistema proporciona la herramienta administrativa Administración de equipos que permite cambiar a una cuenta de inicio de sesión de servicio. Además, otras aplicaciones pueden usar la función ChangeServiceConfig para especificar una nueva cuenta de inicio de sesión para un servicio instalado. De forma predeterminada, se requieren privilegios de administrador local para cambiar una cuenta de servicio. Si esto sucede, podría afectar al servicio de dos maneras:
- Si ha registrado nombres de entidad de seguridad de servicio (SPN), se registrarán en la cuenta incorrecta.
- Si establece ASE para conceder acceso al servicio, ahora concederían acceso a la cuenta incorrecta.
Un enfoque consiste en que el instalador de servicio almacene los SPN registrados para cada instancia de servicio en el registro en el equipo host. Puede usar la misma clave del Registro en HKEY_LOCAL_MACHINE que usó para almacenar la cadena de enlace para el SCP del servicio. Cuando se inicia el servicio, llama a la función QueryServiceConfig para determinar su cuenta de inicio de sesión y, a continuación, consulta al servidor de Active Directory para determinar si los SPN están registrados en el objeto de directorio de esa cuenta. Si los SPN no están registrados o se registran en la cuenta incorrecta, el servicio se niega a iniciar y muestra un mensaje que indica que un administrador de dominio debe ejecutar el programa de configuración del servicio para actualizar la configuración de la cuenta de inicio de sesión. Tenga en cuenta que un administrador debe completar esta reconfiguración porque la cuenta de servicio no debe tener acceso para actualizar su propio SPN. Tenga en cuenta también que los SPN deben quitarse de la cuenta anterior; de lo contrario, los SPN serán inútiles para la autenticación porque no son únicos en el bosque.